Zertifikate

Hallo Leute

Ich habe eine Verständnis Frage ???

Wenn ich mir eine CA erstelle und ein Zertifikat erstellt habe kann ich dieses Zertifikat für mehrere Dienste auf meinen Server nutzen oder muss ich für jeden Dienst eine eigenes Zertifikat erstellen. ??? :???:

Zertifikat erstellt in

/etc/ssl/certs
/etc/ssl/private

und jeder Dienst greift auf dieses zu.

Ist das möglich :roll:

Danke

Hi Andre,

die Frage ist mit einem klaren Jain zu beantworten.
Es kommt ganz darauf an, was in dem Zertifikat an Zertifikatsdaten (cn usw.) drin steht, und wie deine Dienste "heißen". Wenn du alle deine Dienste unter dem gleichen Namen laufen lässt, dann klappt das schon.

Ob das ganze einen Sinn macht, ist eine völlig andere Frage.
Ich würde niemals versuchen, möglichst vielen Diensten das gleiche Zertifikat (den gleichen cn) aufzwingen zu wollen. Wer zwingt dich dazu? Klar, zu Testzwecken geht das, aber als Dauerlösung?

Mein Vorschlag:

1. Auch wenn echte Konsolenfreaks das selbstverständlich auf der Konsole machen ;-) empfehle ich dir bei ernsthafter Beschäftigung mit diesem Thema eines der vielen guten CA-Programme. Mein absoluter Favorit: xca! Riesenvorteil: Anlegen von Templates für jeden Anwendungsfall. Fast wie in einem richtigen TrustCenter. Auch der Export der Schlüssel und Zertifikate ist perfekt gelöst. Und es läuft auch in einem (gemounteten) TrueCrypt-Container.
2. Richte dir eine PCA mit längerer Gültigkeit ein und lege dir die notwendigen Templates (Server, Clients, S/MIME-User usw.) je nach Bedarf an.
3. Und jetzt hindert dich niemand, für jeden Dienst ein eigenes Zertifikat zu erzeugen.

Falls du weitere Fragen zum Thema X.509-Zertifikate hast, her damit.

MfG Peter

So lange alle Dienste die du mit einem Zertifikat absichern willst über den selben fqdn erreichbar sind, reicht ein Zertifikat. Wenn du aber unterschiedliche Namen eingetragen hast, musst du für jeden Dienst ein eingenes Zertifikat erstellen. Da im Zertifikat der common-name abgelegt ist und das ist der fqdn über den der Dienst erreichbsr ist.

Eigentlich geht es um die Dienste

www (für Webaccess d. Mailservers)
IMAP
POP,
Postfix

Danke

Hi Andre,

eigentlich haben wir doch bereits deine Frage beantwortet.
Dass du mit "Dienste" deine diversen Serverdienste meinst, war uns schon klar. Wir haben dir auch beide schon geantwortest, dass du die SSL-Verbindung aller Dienste - wenn sie über den gleichen fqdn erreichbar sind - mit ein und dem selben Zertifikat absichern kannst. Ob das über Spielkram und Tests hinaus sinnvoll ist, steht hier nicht zur Debatte. Du hast nach der Möglichkeit gefragt. Und diese ist unter der o.g. Bedingung gegeben.

Du musst natürlich in den jeweiligen Konfigurationsdateien der einzelnen Dienste den Pfad zu den Zertifikatsdateien bzw. zur jeweiligen Schlüsseldatei (.p12 oder .pfx) angeben. Bzw. in die in den Konfigurationsdateien vorgegebenen Pfade jeweils eine Kopie davon legen, so dass jeder Dienst "sein eigenes" Zertifikat hat, obwohl es in deinem speziellen Fall immer das gleiche ist.
Dass du für Serverzertifikate die (privaten) Schlüssel nicht mit einem Passwort sichern darfst, erwähne ich nur der Vollständigkeit halber.


MfG Peter

Hallo Peter

Ja ist klar. Ich habe es eh gelesen. Das mit d. PWD ist auch klar.

Danke auf jedenfall für alle Antworten.